这篇博客内容出自我在VB2012国际会议的演讲议题——《中国网上购物市场恶意软件攻击分析》,分析了中国网购市场恶意软件的传播方式、安全检测面临的挑战以及网购恶意软件鉴定等内容。
网上购物已经成为我国网民的重要生活习惯。根据报告,截至2011年,我国有5.13亿民众有上网习惯。网路购物的消费总额达到1027亿美金。著名购物网站淘宝网,每分钟可以卖出四万八千份商品。这不仅仅是个具有庞大商机的市场,也是一个令黑客垂涎三尺的获利目标。
国内用户也共享类似的软件使用习惯。微软的浏览器IE,在国内有超过50%的市场份额。即时通讯软件QQ则有上亿的帐户量。压缩软件则是以Winrar最为普及。在这场演讲中所举例的网购木马家族,就是利用上述三款软件对网上购物的网民进行传播、盗取金钱以及安全软件的免杀。
网购木马主要有两大传播渠道。第一大传播渠道是钓鱼网站,或是虚假的购物网站。这类网站常常以不可思议的低价来吸引用户浏览ˋ,用户会由网站上下载由木马伪装的”电子折扣券”或是”实物照片”,造成电脑感染。网站也有可能假装东西卖完了,请用户留下联系方式,一有”货”就会通知用户,其实上门的是木马文件。
第二大渠道是直接通过即时通讯软件的文件传输,透过社会工程学手段主动让用户接受文件并且点击。攻击者会在特定的群内发消息,声称某某商品大降价,请点击连结查看详情,点击的用户就有机会中招。黑客也会通过盗来的帐号发送私密信息,如下图示意,只要把木马的图标提换成美女图,加上”这是我新女友”的讯息,很多人就会双击木马文件而中招。
网购木马的典型流程:双击执行了恶意软件之后,用户会看见想看的图片,譬如商品实物图、美女图。貌似无害,但其实这是降低警戒心的手段。木马程序会开始监控浏览器页面,当发现用户进入支付页面的时候,将支付页面的内容篡改,使得钱实际上是流入了网购木马作者的黑帐户里面。黑客会立刻透过购买虚拟宝物后变现、手机充值后购物等方式进行多阶段洗钱,使得追踪源头相当复杂困难。
我们在现场还展示了一个实际攻击的案例,当用户进入支付页面的时候,木马会修改网页的按钮,使得前往网银的按钮实际上却是对木马服务器发出请求。而木马服务器再对银行发起新的请求,这个请求会把钱导向攻击者的帐户。银行回应一个网银登入确认的页面,木马服务器将此页面送到用户机器上,最后本地端的木马负责修改页面上收款帐户的讯息,让用户信以为真,完成整个诈骗金钱的流程。此类攻击技术目前国际上称之为MITB attack(Man in the browser)。
最后的部分,我们分享了侦测网购木马的挑战,以及黑客与安全软件对抗的思路。网购木马通常以压缩包形式传播,而扫描压缩包对安全软件来说则是一大挑战。攻击者可以构造畸形压缩包来挑战扫描引擎的容错能力。一个相当有意思的案例是一个压缩包但是有两个格式在内。文件前端是Compound binary format,里面只有一些无害的文件。紧接在后的是rar压缩格式,真正的木马文件则是藏于此处。对于一般杀毒软件来说,扫描完前面的无害文件之后,很容易忽略掉后面的第二段压缩格式。但对于Winrar来说,因为文件后坠名是.rar,所以它反而忽略了压缩包前面的compound binary format,直接解开rar压缩格式内的木马文件。所以同一个压缩包,扫描引擎与Winrar看到的文件却是截然不同,造成木马文件可以绕过安全软件的防御。
对于网购用户的保护,我们总结了三条主要思路:
在不同的用户场景,执行不同的安全策略。在网购保镖下,360执行最严格的安全策略来保护用户不受木马攻击。任何造成威胁的程序皆会被拦截,直到用户完成网购为止。
以最高速度响应安全威胁。反应速度越快,木马作者能赚到的钱就越少。当利润下降到一定程度,木马的活动就会趋缓。
拥有多层次的防御机制。从360安全浏览器、360网盾、到360安全卫士,里面包含了恶意网址防御、云查杀、QVM、主动防御、隔离沙箱…等先进防御系统,木马作者要绕过全部的机制,成本势必提高。成本提高也会对木马活动造成相当大的影响,减低攻击者的意愿
网友评论